Viele Angreifer sind versiert genug, um ihre Angriffsziele in wenigen Minuten zu erreichen. Wie kann man solche Angriffe vor ihrer Vollendung stoppen?

Das Erkennen, Reagieren auf und Eindämmen eines Live-Angriffs erfordert Vorbereitung in drei Schlüsselbereichen:

1. Geschwindigkeit
2. Visibilität
3. Fachwissen

Wie erreicht man Exzellenz in diesen Bereichen?

Geschwindigkeit

Die Reaktionsgeschwindigkeit ergibt sich aus der Verfügbarkeit der notwendigen Werkzeuge, die es den Mitarbeitern der Vorfallsreaktion ermöglichen, schneller zu handeln als ein Angreifer.

Diese Werkzeuge können verschiedene Bereiche umfassen:

Kommunikation

Wie werden Ihre Mitarbeiter während eines aktiven Vorfalls kommunizieren?

Wenn sich ein Vorfall ereignet, können Sie sich möglicherweise erst später ein Bild davon machen, was passiert ist. Es kann sein, dass Ihre Kommunikationsinfrastruktur angegriffen wurde oder gefährdet ist. Daher ist es von entscheidender Bedeutung, dass Sie im Voraus überlegen, welche anderen Kommunikationsmöglichkeiten Ihnen als Backup zur Verfügung stehen werden. Die verschiedenen In-Band- und Out-of-Band-Optionen haben alle ihre Vor- und Nachteile – es lohnt sich daher, zu überlegen, welche davon die Anforderungen Ihres Unternehmens am besten erfüllen.

Wer übernimmt was?

Während eines Vorfalls benötigen Sie die richtige Führung, um eine schnelle Reaktion zu ermöglichen. Dabei geht es nicht nur um eine oder mehrere Personen, sondern darum, die Verantwortlichkeiten auf viele verschiedene Bereiche des Unternehmens zu übertragen. Sie brauchen auch entsprechende Stellvertreter, um sicherzustellen, dass Sie nicht von Personen abhängig sind, die im Urlaub oder gerade nicht verfügbar sind. Viele Vorfallsreaktionen werden jedoch durch mangelndes Verständnis und fehlende Klarheit darüber, wer die Verantwortung trägt, verlangsamt. Treffen Sie daher rechtzeitig vor einem Vorfall Ihre Entscheidungen, damit der Prozess nicht behindert wird.

Wie wird alles umgesetzt?

Ein Playbook für die Vorfallsreaktion ist von entscheidender Bedeutung. Das heißt, dass sich niemand jemals fragen muss, wer was zu tun hat, unabhängig davon, wie sich ein Szenario entwickelt. Dies ist entscheidend für die Schnelligkeit der Reaktion.

Visibilität

Abdeckung

Um Geschwindigkeit für die Vorfallsreaktion zu gewährleisten, müssen alle Aktivitäten in Ihrem Betrieb mit einbezogen werden, wenn möglich mit einer hunderprozentigen Abdeckung. Jegliche übersehenen Ressourcen sind potenzielle Orte, an denen sich Angreifer aufhalten können.

Um die Abdeckung zu erhalten, die eine schnelle Reaktion ermöglicht, muss man fast immer mit dem Endpunkt beginnen, da dort heutzutage die meisten Cyberangriffe starten. Ein sogenannter Agent am Endpunkt, der sowohl Visibilität als auch Kontrolle über mehrere Endpunkte bietet, ist von zentraler Bedeutung.

Protokollierung

Sie müssen sich fragen: Wie sieht der angemessene Umfang an Protokollierung auf Ihren Ressourcen aus, damit forensische Ermittler die richtigen Informationen finden können? Dazu gehören volatile Datenquellen wie RAM, aber vor allem DNS-Protokolle – viele verschiedene Malware-Familien verlassen sich nach wie vor auf DNS, um eine erste Kommunikation zu untermauern. Wenn Sie nicht in der Lage sind, die DNS-Abfrage von Gateway-Protokollen bis zu dem Host zurückzuverfolgen, der für sie verantwortlich war, kann dies die Reaktionsaktivitäten verzögern.

Die Protokollierung hört hier aber längst noch nicht auf. Jeder Protokolltyp – von der Firewall bis zum Active Directory, vom Web Proxy bis zum Antivirenschutz – schafft auf unterschiedliche Weise Mehrwert und bietet mehr Möglichkeiten, Einblicke zu gewinnen.

Verwaltung und Ausweitung der Abdeckung

Wir arbeiten in einem unbeständigen Umfeld. Die Bedrohungslandschaft verändert sich, neue Mitarbeiter kommen hinzu, und neue Ressourcen und Software werden – manchmal sogar auf Stundenbasis – bereitgestellt. Unternehmen müssen sich dieser unaufhörlichen Zunahme der Angriffsfläche bewusst sein und Visibilität in ihr Standardbetriebsmodell einbringen. Dadurch wird sichergestellt, dass Endpunkte durchgehend abgedeckt werden, unabhängig davon, ob es sich um neue, bestehende oder ältere Endpunkte handelt.

Warum ist das wichtig?

Wenn Sie eine komplexe Gateway-Konfiguration haben, kann es viele Stunden dauern, bis Änderungen bereitgestellt werden können. Während dies im normalen Tagesgeschäft in Ordnung ist, kann es in einem Live-Response-Szenario problematisch sein. Wenn man im Voraus über diese Dinge nachdenkt und entsprechend plant, stärkt man seine Fähigkeit, innerhalb von Minuten zu reagieren.

Fachwissen

Wenn wir zwei Unternehmen mit den gleichen Werkzeugen und Investitionen in die Sicherheit gegeneinander antreten lassen würden, würde der Faktor Mensch den Unterschied machen. Gute Mitarbeiter mit dem richtigen Fachwissen und der richtigen Denkweise ermöglichen eine schnelle und effiziente Reaktion – auch in Situationen, in denen der Stress hoch und die Bedrohungslandschaft ungewiss sein kann. Es geht nicht nur um die Möglichkeit, Endpunkte und andere Datenspeicher abzufragen, sondern auch um die Interpretation dieser Daten und die richtigen Entscheidungen auf der Grundlage der verfügbaren Beweislage.

Die Festlegung der erforderlichen Zuständigkeiten für die verschiedenen Bereiche Ihres Unternehmens ist von größter Bedeutung. Das bedeutet, zu wissen, an wen man sich wenden muss, wenn man Einblicke in bestimmte Ressourcen und Bereiche des Unternehmens benötigt – und das selbst um zwei Uhr morgens.

Schulungen

Mitarbeiter auf allen Ebenen müssen darüber aufgeklärt werden, was zu tun ist, wenn das Unternehmen angegriffen wird. Einige benötigen dabei mehr Unterstützung als andere. Diejenigen, die an vorderster Front der Verteidigung stehen – Ihre „Notfall-Einsatzkräfte“ – werden regelmäßigere Schulungen benötigen. Überlegen Sie, wer in Ihrem Unternehmen das wichtigste Reaktionsteam sein wird, und nehmen Sie sich die Zeit, Planübungen und Angriffssimulationen durchzuführen, sodass jeder bestens mit seinen Aufgaben vertraut ist.

10 Prozent Bereitschaft ist besser als keine Bereitschaft

Die Bereitschaft berührt zahlreiche Aspekte, und die meisten Unternehmen sind nicht perfekt.

Wenn Sie jedoch Klarheit darüber schaffen können, wer wofür verantwortlich ist, und die Abdeckung Ihrer geschäftskritischsten Ressourcen sowie eine Reihe von Tools zur Erkennung und Reaktion bereitstellen, dann sind Sie auf dem besten Weg sicherzustellen, dass Sie fähig sind, einen Angriff innerhalb von Minuten zu stoppen.